vpn lan-lan kopplung, nicht alle ip's erreichbar

[mongostyles]

Halo zusammen,

so nun noch einige Erkenntnisse der Nacht....

Wie gesagt, haben wir ein vpn mit 2x Lancoms (1751UMTS 8.50 RU1 und 1821n 8.50 RU2) mit festen IPs am laufen.
Beide sind für ein zertifikatsbasiertes vpn konfiguriert, welches sich auch fehlerfrei aufbaut.
Wir können die Router pingen und DNS-forwarding klappt soweit auch.

Leider haben wir Schwierigkeiten von der Filiale einige Rechner in der Zentrale zu erreichen werde ping noch dns, logischerweise.
Wir können nur einige IPs erreichen, hatten testweise auch die Firewalls deaktiviert, ohne Besserung, IP-Listeneinträge sind vorhanden.
Aus der Zentralle erreichen wir von allen Rechnern den Filial Router, und die dahinter befindlichen Client.

Netz Zentrale 192.168.10.x
DNS 192.168.10.1
GW 192.168.10.254

Netz Filiale 192.168.20.x
DNS 192.168.20.254
GW 192.168.20.254

Falls noch weitere Infos fehlen, kann ich entsprechend nachliefern

Jemand eine Idee:?:

[mongostyles]

Hey,

hat den niemand ne gute Idee?
Problem besteht noch immer.
Ich kann von der der zetrale alles auf der Filialseite pingen, jedoch ugekehrt (direkt aus dem Router der Filiale) erreiche ich nicht alle Hosts in der Zentrale, IP Einstellungen der Hosts habe ich bereits geprüft.

Gruss

[backslash]

Hi mongostyles,

hats du schonmal versucht, von den Zentral-Hosts, die du aus der Filiale nicht erreichen kannst, die Filial-Hosts zu erreichen? Ich würde den Fehler in den nicht erreichbaren Zentral-Hosts vermuten (Stichwort: falsches Default-Gateway)

Gruß
Backslash

[mongostyles]

Hallo backslash,

ja hab ich versucht default gateway habe ich schon geprüft, sind immer jeweils die lancoms eingetragen. von dem nicht erreichbaren host in der zentrale, erreiche ich die hosts in der filiale, nur eben umgekehrt nicht, bzw. ich erreiche ja nur einige hosts in der zentrale nicht aus der filiale, was mich echt stutzig macht. kann da noch was an der FW fehlerhaft sein? wobei ich hier nichts geändert hab.

Gruss

[backslash]

Hi mongostyles

da heißt es erstmal tracen (Etherent-Trace, IP-Router-Trace, VPN-Packet-Trace)... Achte darauf, daß du das zu einem Zeitpunkt machst, an dem möglichst nichts los ist, denn sonst sieht du den Wald vor lauter Bäumen nicht. Ebenso mußt du darauf achten, daß du nicht die Telnet-Session mittracet auf der der Trace läuft, z.b. trace # eth ip-router vpn-packet @ -tcp und dann ein ping auf den fraglichen Host absetzen. Dann solltest du sehen, wo das Paket verloren geht...

Gruß
Backslash

[mongostyles]

Hi,

also ich versteh die Welt nicht.
Wenn ich nun seitens der Filiale auf die Hostnamen einen ping absetze, werden diese sogar aufgelöst inkl. der entsprechenden IP, jedoch auch wie beim ping auf die IP keine Rückmeldung. Ich komm immer bis zum Router der Zentrale und dann ist vorbei. Der Trace brachte folgendes zu Tage, wenn ich in der Filiale von 192.168.20.61 pinge

192.168.10.3 funktioniert

Code: Alles auswählen

[IP-Router] 2011/12/06 16:39:32,950
IP-Router Rx (FILIALE, RtgTag: 0): 
DstIP: 192.168.10.3, SrcIP: 192.168.20.61, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x013e
Route: LAN Tx (INTRANET): 

[IP-Router] 2011/12/06 16:39:32,950
IP-Router Rx (LAN-4, INTRANET, RtgTag: 0): 
DstIP: 192.168.20.61, SrcIP: 192.168.10.3, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo reply, id: 0x0001, seq: 0x013e
Route: WAN Tx (FILIALE)

192.168.10.2 ist einer der nicht geht

Code: Alles auswählen

[IP-Router] 2011/12/06 16:39:27,470
IP-Router Rx (FILIALE, RtgTag: 0): 
DstIP: 192.168.10.2, SrcIP: 192.168.20.61, Len: 60, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x013d
Route: LAN Tx (INTRANET): 

Gruss

[backslash]

Hi mongostyles,

nun gut: hier kommt das Paket an und soll auf's LAN gesendet werden. Jetzt mußt du einen Ethernet-Trace machen, um zu sehen, ob das Paket auch wirklich auf dem LAN rausgeht... (und wenn es rausgeht und dann keine Antwort reinkommt, dann liegt das Problem an dem PC...)

Gruß
Backslash